Com o valor dos pagamentos de resgate de ransomware em alta no mercado, os preços do ransomware como serviço (RaaS – Ransomware-as-a-Service) praticados por hackers também dispararam. Relatório da Trend Micro, que tem como base a análise de mais de 900 listas de credenciais vazadas em diferentes fóruns de crimes cibernéticos de língua inglesa e russa, de janeiro a agosto deste ano, mostra que os preços do RaaS variam dependendo do tipo de acesso (máquina única ou rede/empresa inteira), da receita anual da empresa e do trabalho extra que o comprador vai precisar fazer.
Embora o acesso remoto via RDP (Remote Desktop Protocol) seja vendido nos fóruns da dark web por apenas US$ 10,00, o preço médio para credenciais de administrador de sistemas em uma empresa é de cerca de US$ 8,5 mil, valor que pode chegar a US$ 100 mil, dependendo do tipo de credencial, extensão do acesso, porte da empresa, entre outras características. Normalmente, as invasões via RDP para implantação de ransomware somente são detectadas em um estágio final, mais visível, de um ataque que já pode estar em execução há semanas ou meses.
O relatório da Trend Micro mostra que o setor de educação foi o que registrou o maior número de anúncios de “access-as-a-service”, respondendo por 36% do total — mais que o triplo do segundo e terceiro setores mais visados: manufatura e serviços, que respondem por 11% cada.
“A imprensa e os especialistas em segurança cibernética têm focado apenas nos ataques de ransomware, quando precisam se preocupar em reduzir a atividade de venda de dados de acesso às redes das empresas”, disse David Sancho, pesquisador sênior de ameaças da Trend Micro. “Os respondentes de incidentes cibernéticos geralmente precisam investigar duas ou mais cadeias de ataque sobrepostas para identificar a origem de um ataque ransomware, o que muitas vezes complica o processo geral de resposta. As equipes deveriam se antecipar a esse problema, monitorando a ação dos ‘corretores de acesso inicial’, que roubam e vendem acessos às redes corporativas — e cortando o fornecimento para os agentes de ransomware.”
Veja isso
Cibermercenários vendem campanha de espionagem no modelo RaaS
Gangues de hackers passam a oferecer leasing de ransomware
O levantamento da Trend Micro revela três tipos principais de corretor de acesso:
• Vendedores oportunistas que buscam lucro rápido e não gastam todo o seu tempo na atividade;
• Corretores dedicados que são hackers sofisticados e qualificados com oferta de acesso a uma gama variada de empresas. Seus serviços são frequentemente usados por grupos menores de ransomware.
• Lojas online que oferecem credenciais RDP e VPN (rede privada virtual) garantem acesso apenas a uma única máquina, em vez de toda uma rede ou organização. No entanto, oferecem uma maneira simples e automatizada para cibercriminosos com poucas habilidades. Eles podem até pesquisar pela localização, ISP (provedores regionais), sistema operacional, número da porta, direitos administrativos ou nome da empresa.
A maioria das ofertas de corretores de acesso envolve um simples conjunto de credenciais que podem ter sido originárias de: violações anteriores e quebra de senha; computadores comprometidos por bots; equipamentos de VPN e gateway vulneráveis, servidores web ou ataques oportunistas pontuais.